Dans le cadre de ses activités, l’UES Saint-Paul recueille un certain nombre de données personnelles. Ces données sont traitées conformément aux dispositions de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi que le règlement UE n°2016/679 du 27 avril 2016, dit RGPD.
1. Obligations générales du responsable de traitement
L’UES Saint-Paul est le responsable du traitement des données personnelles collectées.
Elle est représentée par le Docteur Nabil MANSOUR, Président Directeur Général.
Elle est domiciliée au 4 rue des Hibiscus, 97200 Fort-de-France. Contact 05 96 39 40 00.
Le responsable de traitement met en œuvre une politique de protection des données appropriée vis-à-vis de ses activités et celles de ses sous-traitants, en tenant compte de l’état des connaissances, des coûts de mise en œuvre et des risques évalués. Les mesures définies dans la politique sont réexaminées et actualisées si nécessaire.
Le responsable de traitement conformément au RGPD :
– Détermine les finalités et les moyens des traitements,
– Tient un registre des activités de traitements,
– Informe de manière loyale et transparente la personne concernée,
– Nomme un délégué à la protection des données (DPD ou DPO),
– Réalise les analyses d’impact si nécessaire.
Un binôme DPO-RSSI mène la mise en conformité de l’UES au RGPD :
– Le délégué à la protection des données – Data protection officer (DPD ou DPO)
Conformément au RGPD, un membre de l’équipe de l’UES Saint-Paul a été désigné pour assurer la fonction de délégué à la protection des données.
Le DPO :
– Veille à la conformité des traitements réalisés au sein de l’UES vis-à-vis du RGPD,
– Accompagne les équipes lors de la mise en œuvre de traitements,
– Aide l’instruction des demandes liées à la protection des données personnelles,
– Informe et sensibilise l’ensemble des parties prenantes (patients, personnels, sous-traitants, fournisseurs, partenaires).
Le DPO bénéficie de mesures organisationnelles et de moyens lui permettant de piloter la mise en conformité.
- Le responsable de la Sécurité des Systèmes d’Information (RSSI)
Un membre de l’équipe de l’UES Saint-Paul s’est désigné volontairement pour assurer la fonction de RSSI.
Le RSSI veille à la bonne gestion de la sécurité de l’information. Il accompagne l’équipe sur les sujets de sécurité et sensibilise l’ensemble des parties prenantes de l’UES.
2. Engagement de l’UES au respect des principes fondamentaux
Dans le cadre du règlement européen de la protection des données et de la loi informatique et liberté, l’UES s’engage à respecter les principes fondamentaux suivants :
a. Respect de la licéité
L’UES Saint-Paul s’assure de collecter et de traiter les données de manière licite c’est-à-dire :
– Soit sur la base du consentement de la personne concernée
– Soit le traitement est nécessaire à l’un des motifs suivants :
o L’exécution d’un contrat (prise en charge d’un patient, contrat de travail d’un salarié,…)
o Le respect d’une obligation légale à laquelle le responsable de traitement est soumis
o La sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
o L’exécution d’une mission d’intérêt public ou relevant de l’exercice d’une autorité publique dont est investie le responsable de traitement
o Les fins des intérêts légitimes poursuivis par le responsable de traitement ou par un tiers à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. Ce point ne s’applique pas aux traitements effectués par les autorités publiques dans l’exécution de leurs missions.
b. Loyauté & transparence
L’UES Saint-Paul s’assure d’informer la personne concernée au moment de la collecte des informations, des traitements de données et de ses finalités, et s’engage à les respecter.
c. Communication claire
Vis-à-vis des traitements de données personnelles réalisés, l’UES Saint-Paul s’engage à communiquer à la personne concernée de façon concise, transparente et compréhensible.
d. Limitation des finalités
Les données sont collectées pour des finalités déterminées, explicites et légitimes.
Elles ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités, sauf pour les motifs suivants :
– A des fins archivistiques dans l’intérêt public,
– A des fins de recherche scientifique ou historique,
– A des fins statistiques.
e. Minimisation et pertinence des données collectées
L’UES s’assure que les données recueillies soient adéquates, pertinentes et limitées à ce qui est nécessaire, au regard des finalités pour lesquelles elles sont traitées.
Elle veille également à ce que ses partenaires respectent le concept de « Privacy by design » qui a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception.
f. Exactitude des données collectées
L’UES s’assure que les données recueillies soient exactes et, si nécessaire, tenues à jour.
Elle prend toutes les mesures raisonnables pour que les données personnelles inexactes, eut égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées dans les meilleurs délais.
g. Limitation de la conservation des données collectées
Les données sont conservées, sous une forme permettant l’identification des personnes concernées, pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Il est possible de conserver les données plus longtemps si elles sont traitées exclusivement
– à des fins archivistiques,
– dans l’intérêt public,
– à des fins de recherche scientifique ou historique,
– à des fins statistiques.
Dans ce cas, des mesures sont prises pour garantir les droits et libertés des personnes concernées.
h. Intégrité et confidentialité des données collectées
Les données sont collectées et traitées de façon à garantir une sécurité appropriée des données à l’aide de mesures techniques ou organisationnelles appropriées.
L’UES s’engage à assurer :
– La protection contre le traitement non autorisé ou illicite,
– La protection contre la perte, la destruction ou les dégâts d’origine accidentelle.
Le responsable de traitement doit identifier les risques en évaluant la vraisemblance (probabilité), la gravité des risques et en mettant en place les mesures techniques et organisationnelles pour limiter les impacts sur la vie privée des personnes concernées.
L’UES a mis en place des mesures de sécurité physiques (locaux fermés à clés, alarmes anti-intrusion, détection de fumée et moyens de lutte contre les incendies, …) et de sécurité informatique (gestion des accès par identifiant/mot de passe, …).
3. Engagement de l’UES au respect de vos droits
3.1 Vos Droits
Dans les limites et conditions autorisées par la réglementation en vigueur, vous pouvez exercer les droits suivants :
a. Droit d’information et de consentement
L’UES vous informera toujours des traitements de données vous concernant et votre consentement vous sera demandé dans les cas le nécessitant (ex : le droit à l’image, la gestion des cookies,…).
Dans le cas où vous avez donné votre consentement, vous avez le droit de le retirer à tout moment.
b. Droit d’accès
L’exercice du droit d’accès permet de savoir si des données vous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il vous permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.
c. Droit de rectification
Le droit de rectification permet de corriger des données inexactes vous concernant (ex : âge ou adresse erronés) ou de compléter des données (ex : adresse sans le numéro de l’appartement) en lien avec la finalité du traitement.
d. Droit à l’effacement (« droit à l’oubli »)
Vous pouvez obtenir l’effacement d’une information collectée par l’UES, si vous considérez qu’au moins une de ces situations correspond à votre cas :
– Vos données sont utilisées à des fins de prospection ;
– Les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
– Vous retirez votre consentement à l’utilisation de vos données ;
– Vos données font l’objet d’un traitement illicite (par exemple, publication de données piratées) ;
– Vos données ont été collectées lorsque vous étiez mineur dans le cadre de l’utilisation de notre site internet ;
– Vos données doivent être effacées pour respecter une obligation légale ;
– Vous vous êtes opposé au traitement de vos données et le responsable du fichier n’a pas de motif légitime ou impérieux de ne pas donner suite à cette demande.
e. Droit à la portabilité des données
Avec le droit à la portabilité des données, vous pouvez demander à récupérer les données que vous avez fournies, pour un usage personnel ou pour les transmettre à un tiers de votre choix.
f. Droit d’opposition
Vous pouvez vous opposer à tout moment à ce que l’UES utilise certaines de vos données, apparaissant dans un fichier non obligatoire.
g. Droit à la limitation du traitement
Le droit à la limitation de vos données est un droit qui complète vos autres droits (rectification, opposition…). Si vous contestez l’exactitude des données utilisées par l’UES ou que vous vous opposez à ce que vos données soient traitées, la loi autorise l’UES à procéder à une vérification ou à examen de votre demande pendant un certain délai. Pendant ce délai, vous avez la possibilité de demander à l’UES de geler l’utilisation de vos données. Concrètement, elle ne devra plus utiliser les données mais devra les conserver.
Inversement, vous pouvez demander directement la limitation de certaines données dans le cas où l’UES souhaite elle-même les effacer. Cela vous permettra de conserver les données, par exemple dans le cadre d’une procédure judiciaire.
3.2 Comment exercer vos droits
Pour exercer vos droits, vous pouvez solliciter le DPO de l’UES :
– par courriel : dpo@cliniquesaintpaul.fr
– par courrier postal : Clinique Saint-Paul, à l’attention du délégué à la Protection des Données, au 4 rue des Hibiscus, 97200 Fort-de-France.
– par le site internet : https://clinique-st-paul.fr/-Nous-contacter- en sélectionnant l’objet « Demande relative à la protection des données personnelles ».
Vous devez impérativement justifier de votre identité en indiquant clairement vos nom et prénoms, l’adresse à laquelle vous souhaitez que la réponse vous soit envoyée.
L’exercice de vos droits s’effectue sans frais.
Nous accuserons réception de votre demande dans les 48 heures et y répondrons dans les meilleurs délais et au plus tard 1 mois après la réception de la demande.
Si vous considérez que nous ne répondons pas à votre demande, vous avez la possibilité d’introduire une réclamation auprès d’une autorité de contrôle. En France, l’autorité de contrôle est la :
CNIL - 3 place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr
ANNEXE 1 :
A l’attention de nos patients – Notre politique de protection des données à caractère personnel dans le cadre de votre prise en charge
L’UES Saint-Paul est soucieuse de la protection des données personnelles. Elle s’engage à assurer le meilleur niveau de protection de vos données personnelles en conformité avec le Règlement Général de la Protection des Données (RGPD) et la loi Informatique et libertés.
L’UES Saint-Paul est le responsable du traitement des données personnelles collectées.Elle est représentée par le Docteur Nabil MANSOUR, Président Directeur Général, et domiciliée au 4 rue des Hibiscus, 97200 Fort-de-France.
Contact 05 96 39 40 00.
Quelles sont les données que nous collectons ?
Nous collectons et traitons les données vous concernant qui peuvent notamment être d’ordre administratif, social et médical.
Si vous êtes concerné par un acte de chirurgie bariatrique, cliquez ici pour plus d’informations.
Pourquoi nous collectons et exploitons ces données ?
Ces données servent notamment à faciliter votre prise en charge médicale et soignante, la gestion administrative de votre dossier, la facturation des actes médicaux, la télétransmission des feuilles de soins, l’édition des résultats d’examens et tout autre traitement participant à votre parcours de soins.
Vos données servent également à l’amélioration de la qualité de nos prestations au travers de statistiques pour l’analyse de l’activité des services, des enquêtes internes et nationales.
Quels sont vos droits au regard de la loi Informatique et Libertés ? (Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés)
Dans les limites et conditions autorisées par la réglementation en vigueur, vous pouvez exercer votre droit d’accès, de rectification et d’opposition pour motif légitime aux données personnelles vous concernant.
Pour exercer vos droits, vous pouvez solliciter le DPO de l’UES :
– par courriel : dpo@cliniquesaintpaul.fr
– par courrier postal : Clinique Saint-Paul, à l’attention du délégué à la Protection des Données, au 4 rue des Hibiscus, 97200 Fort-de-France.
– par le site internet : https://clinique-st-paul.fr/-Nous-contacter- en sélectionnant l’objet « Demande relative à la protection des données personnelles ».
Vous devez impérativement justifier de votre identité en indiquant clairement vos nom et prénoms, l’adresse à laquelle vous souhaitez que la réponse vous soit envoyée.
L’exercice de vos droits s’effectue sans frais.
Nous accuserons réception de votre demande dans les 48 heures et y répondrons dans les meilleurs délais et au plus tard 1 mois après la réception de la demande.
Si vous souhaitez accéder à vos données de santé, conformément à l’article L.1111-7 du code de la santé publique, nous vous les communiquerons au plus tard dans les 8 jours suivant la demande et au plus tôt – compte tenu du délai de réflexion prévu par la loi dans l’intérêt de la personne – dans les 48 heures. Si les informations remontent à plus de cinq ans, le délai est porté à 2 mois.
Si vous considérez que nous ne répondons pas à votre demande, vous avez la possibilité d’introduire une réclamation auprès d’une autorité de contrôle. En France, l’autorité de contrôle est la :
CNIL - 3 place de Fontenoy - TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr
Comment nous protégeons vos données personnelles ?
Tous les services de l’UES Saint-Paul disposent d’un système informatique sécurisé destiné à la gestion des dossiers patients. Ce système gère toutes les données nécessaires aux soins des patients, à la gestion administrative, à la facturation des actes et à la réalisation d’enquêtes.
Dans ce cadre, les informations vous concernant sont déposées chez un hébergeur de données de santé agréé ; il s’agit du GCS-SIS Martinique.
Les informations administratives, sociales et médicales que nous collectons auprès de vous et qui vous concernent (ou votre enfant), font l’objet d’un enregistrement informatique dans ce système et sont traitées sous la responsabilité de l’UES Saint-Paul.
Seuls les professionnels de santé de l’équipe de soins intervenant dans votre prise en charge, ou celle de votre enfant, peuvent accéder aux données médicales.
Afin d’améliorer la qualité de votre parcours de soins, l’UES Saint-Paul peut également être amenée, avec votre accord explicite, à transmettre ces données à des professionnels de santé hors UES, intervenant par ailleurs dans votre prise en charge.
Comment nous conservons vos données personnelles ?
Le dossier médical est conservé de manière sécurisée dans nos locaux et dans les locaux de notre sous-traitant Archiv’ System. Conformément au Code de la Santé Publique, les dossiers médicaux sont conservés pendant une période de vingt ans à compter de la date du dernier passage, ou au moins jusqu’au vingt-huitième anniversaire du patient, ou pendant dix ans à compter de la date de décès.
ANNEXE 2 : Utilisation WIFI-Public
L’UES Saint-Paul met gratuitement à disposition des usagers et des salariés une connexion WIFI.
Ce service est non sécurisé. L’UES ne peut être tenue responsable d’une interception de données sur ce réseau.
La protection contre les virus et la sécurité est de la responsabilité de l’utilisateur sans fil.
Votre accès internet doit être utilisé légalement et raisonnablement. Vos identifiants ne doivent en aucun cas être transmis à un tiers.
Quelles sont les données que nous collectons ?
Nous collectons et traitons vos noms, prénoms, numéros de téléphone mobiles et historique de navigation.
Pourquoi nous collectons et exploitons ces données ?
Ces données servent uniquement à répondre à notre obligation légale en cas de contrôle des autorités.
Quels sont vos droits au regard de la loi Informatique et Libertés ?
(Loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés)
Vous disposez d’un droit d’accès et de rectification pour motif légitime aux données personnelles vous concernant. Vous pouvez exercer ce droit en vous adressant au Délégué à la protection des données personnelles (DPO) de l’UES Saint-Paul :
– par courriel : dpo@cliniquesaintpaul.fr
– par courrier postal : Clinique Saint-Paul, à l’attention du délégué à la Protection des Données, au 4 rue des Hibiscus, 97200 Fort-de-France.
– par le site internet : https://clinique-st-paul.fr/-Nous-contacter- en sélectionnant l’objet « Demande relative à la protection des données personnelles ».
Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
– en écrivant au 3, place Fontenoy – TSA 80715 – 75334 Paris cedex 07
– par téléphone au 01 53 73 22 22
– sur le site de la Commission : www.cnil.fr.
Comment nous conservons vos données personnelles ?
Conformément aux règles de télécommunications électroniques en vigueur (loi anti-terroriste de 2006, loi Hadopi de 2009), vos traces de connexions sur Internet sont conservées un an et sont en rapport avec votre identité.
Annexe 3 : SI-VIC
Note d’information sur les droits des personnes dont des données à caractère personnel ont été enregistrées dans le système d’information SI-VIC.
L’outil SI-VIC a pour finalité l’aide au pilotage, l’établissement d’une liste unique de victimes en cas d’attentat, et l’information des familles et proches de victimes dans le cadre de situations sanitaires exceptionnelles.
Des informations vous concernant ont été enregistrées et traitées dans le système d’identification unique des victimes dénommé SI-VIC, créé par l’article L. 3131-9-1 du code de la santé publique.
Ce système d’information est mis en œuvre lorsqu’un événement peut être qualifié de situation sanitaire exceptionnelle. Il permet aux autorités sanitaires d’effectuer un suivi global et individuel des personnes impliquées par l’évènement. Les informations qu’il contient sur les modalités de votre prise en charge sanitaire peuvent être utilisées si besoin pour informer vos familles et vos proches, ainsi que pour faciliter votre accompagnement dans vos éventuelles futures démarches.
Ces données, strictement non médicales, sont accessibles à l’ensemble des acteurs coordonnant la situation sanitaire exceptionnelle et vous prenant en charge, selon leurs habilitations :
– les établissements de santé, les Cellules d’Urgence Médico-Psychologique et les SAMU accèdent uniquement aux données des personnes qu’ils prennent en charge ;
– les agences régionales de santé (ARS) accèdent aux données de l’ensemble des personnes prises en charge dans leur région ;
– la direction générale de la santé (DGS) accède aux données de l’ensemble des personnes prises en charge lors d’une situation sanitaire exceptionnelle sur le territoire français ;
– en cas d’activation : la cellule interministérielle d’aide aux victimes (CIAV) ou la cellule d’information du public (CIP) ont accès aux données.
Ces informations sont conservées selon l’article R. 3131-10-2 du code de la santé publique.
Conformément au Règlement général sur la protection des données – RGDP, et à la loi du 6 janvier 1978 modifiée relative aux fichiers, à l’informatique et aux libertés, vous pouvez, à tout moment, accéder aux informations vous concernant et faire rectifier les données inexactes.
Vous pouvez obtenir davantage d’information sur le traitement et exercer vos droits auprès de la direction générale de la santé au ministère chargé de la santé, responsable du traitement, en écrivant à l’adresse suivante : dgs-rgpd@sante.gouv.fr
Vous disposez d’un droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), si vous considérez que le traitement n’est pas conforme à la réglementation sur la protection des données.
Annexe 4 : NOTE D’INFORMATION – REGISTRE OBESITE
Madame, Monsieur,
Les informations recueillies lors de votre consultation ou hospitalisation dans notre établissement font l’objet de traitements informatiques destinés à faciliter votre prise en charge au sein de celui-ci. Vos données sont réservées aux professionnels de santé de la Clinique Saint Paul soumis au secret professionnel et participant à votre prise en charge dans la limite des catégories de données qui leur sont nécessaires. Le responsable du traitement informatique est Dr Nabil MANSOUR.
Dans le cadre de votre prise en charge au sein de la Clinique Saint Paul, notre établissement utilise en plus un logiciel spécifique dénommé BRO permettant d’assurer votre suivi médical et l’analyse de l’activité du centre afin de mieux évaluer et améliorer la prise en charge de la chirurgie de l’obésité et des maladies métaboliques en France.
Les données de BRO concernent votre identité, données pré-opératoires, comorbidités, antécédents chirurgicaux bariatriques, données per-opératoires, données de suivi hospitalisation ou consultation. Les données ainsi collectées sont hébergées par le CHU de Nice et font l’objet d’une convention entre le CHU de Nice et notre établissement. Le CHU de Nice dispose de l’agrément d’hébergeur de données de santé à caractère personnel délivré par le Ministère en charge de la Santé, en application des dispositions de l’article L.1111-8 du Code de la Santé Publique. La durée de conservation de ces données est de 20 ans.
Les données de BRO alimentent un entrepôt de données de santé à visée de recherches, études et évaluations de la chirurgie de l’obésité sans mention de votre identité (nom, prénom, date de naissance). Les établissements participant à cet entrepôt sont les centres labélisés par la SOFFCO (Société Française et Francophone de Chirurgie de l’Obésité et des Maladies Métaboliques).
Les données d’activité agrégées peuvent faire l’objet de rapports de la part de la SOFFCO.
Sauf opposition de votre part, ces données, préalablement rendues non-nominatives, peuvent également faire l’objet d’analyses statistiques pour la santé publique par l’équipe médicale responsable de vos soins ou par d’autres chercheurs dûment habilités par le comité de pilotage du registre BRO, le résultat de ces exploitations ne pouvant permettre de vous ré-identifier. Le responsable de ce traitement est le CHU de Nice qui héberge aussi les données. Pour en savoir plus sur les projets de recherche et les modalités d’exercice de vos droits, vous pouvez consulter le site internet du CHU de Nice. (1)
Le traitement de ces données est conforme à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée et ainsi qu’au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (règlement général sur la protection des données). Vous pouvez exercer votre droit d’accès et de rectification aux informations qui vous concernent ou une limitation du traitement relatif à votre personne en écrivant au Délégué à la Protection des Données (DPO) de la Clinique Saint Paul (2). Il pourra aussi répondre à toutes vos questions concernant la protection des données personnelles. De même, vous pouvez à tout moment vous opposer à votre participation à ce traitement des données vous concernant pour des motifs légitimes, sans que cela ne modifie en aucune façon la prise en charge médicale réalisée par votre médecin.
Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés ou que vos données ne sont pas traitées conformément à la réglementation relative aux données personnelles, vous pouvez adresser une réclamation auprès de la Commission Nationale Informatique et Libertés.(3)
(1) https://www.chu-nice.fr/politique-de-confidentialite
(2) Mail à dpo@cliniquesaintpaul.fr ou Courrier à A l’attention du Délégué à la Protection des données (DPO), Clinique Saint Paul 4 rue des hibiscus 97200 Fort-de-France
(3) https://www.cnil.fr